Uit een interview van ZDnet met de manager van Microsoft UK blijkt dat data die door Amerikaanse cloud-aanbieders wordt opgeslagen altijd door de Amerikaanse overheid kan worden ingezien, waar ter wereld die data zich ook bevindt. Webwereld bericht dat hierover door Europarlementarier Sophie in ‘t Veld spoedvragen zijn gesteld aan de Europese Commissie.
Met dank aan Mark Jansen, Dirkzwager advocaten. Eerder verschenen op Dirkzwageriteit.
Verbod op gegevensexport buiten de EU
Wat is er aan de hand? Het Europese privacyrecht staat het, kort samengevat, niet toe dat persoonsgegevens buiten de grenzen van de EU worden opgeslagen of anderszins verwerkt, tenzij er allerlei waarborgen worden getroffen. Om die reden moet bij de uitbesteding van IT-diensten altijd kritisch worden getoetst of die uitbesteding ertoe leidt dat persoonsgegevens buiten de EU terechtkomen.
Uitbesteding door keuze voor “cloud computing”
Een vorm van uitbesteding van IT diensten is het overhevelen van de programmatuur en data naar “de cloud”. De cloud kenmerkt zich onder andere hierdoor dat de benodigde opslag- en/of rekencapaciteit wordt geleverd door computers van over de hele wereld. Het aantal computers dat tot een bepaalde “cloud” behoort is bovendien eenvoudig naar boven en naar beneden bij te stellen. Dit maakt de cloud erg flexibel en daarmee kostenefficient.
Bij cloud onduidelijk waar data staat
Een klant bij een cloud provider weet daarmee dus niet waar zijn data staat opgeslagen, of welke computer een bepaalde taak nu eigenlijk voor hem aan het uitvoeren is. Die data kan dus ook buiten de Europese Unie terechtkomen en dat zou, tenzij er nadere waarborgen zijn, een schending van het privacyrecht met zich meebrengen. Zo heeft recent nog de Deense privacytoezichthouder geoordeeld dat de Google cloud niet te verenigen is met het Deense privacyrecht.
Mogelijke oplossing: de Europese cloud
Om die reden zijn er wel cloud providers die garanderen dat de data die wordt opgeslagen in hun cloud de grenzen van de Europese Unie niet zal verlaten. Dat betekent dus praktisch dat dat de cloud slechts bestaat uit servers die in de Europese Unie staan opgesteld. Dat is vaak wel wat duurder, want de servers kunnen dan niet langer in landen met lagere kosten (zoals India) staan.
Ook Europese cloud echter niet waterdicht?
Uit het interview blijkt nu dat die garantie maar betrekkelijk is. De directeur van Microsoft wijst er op dat Amerikaanse bedrijven, als Microsoft, gebonden zijn aan de Amerikaanse wetgeving. Die wetgeving kan met zich meebrengen dat bedrijven gedwongen worden bepaalde data vrij te geven. De data komen daarmee toch in handen van buitenlandse overheden.
Commentaar
Iedere cloud provider gebonden aan eigen lokale recht
Het nieuwsartikel gaat specifiek in op de situatie bij Amerikaanse bedrijven, maar dat is niet terecht. Iedere cloud provider (en de door die provider ingeschakelde data- en rekencentra) zijn gehouden zich te houden aan de wetten van het land van vestiging. Wanneer die wetten met zich meebrengen dat – onder omstandigheden – data moet worden vrijgegeven, dan zal dit dus waarschijnlijk ook gebeuren. Dat is ook een van de keerzijden van de cloud: de data worden opgeslagen in landen met hele andere rechtsstelsels en bovendien vaak in meerdere landen tegelijk. Het is vaak onbekend welke consequenties dat precies met zich meebrengt. Dat geldt overigens niet alleen voor de cloud provider zelf (de contractuele wederpartij), maar ook voor de afzonderlijke datacentra die als nevenvestiging of “onderaannemer” door de cloud provider worden ingeschakeld.
Gebruik modelcontracten bij data-export
De vraag is echter of dit nu betekent dat Europese bedrijven helemaal geen gebruik meer zouden mogen maken van cloud oplossingen. Dat is maar de vraag. Allereerst moet niet worden vergeten dat wanneer tussen de uitbestedende organisatie en de cloud provider een contract wordt gesloten dat voldoet aan de bepalingen van het betreffende modelcontract, de data-export in beginsel wel is toegestaan.
Afwachten op antwoorden van Europese Commissie
De oplosing van de “Europese cloud” komt vooral in beeld wanneer het ondertekenen van een dergelijk contract juist niet tot de mogelijkheden behoort. Het idee is dat door de data helemaal niet te exporteren, er ook geen sprake kan zijn van verboden export van persoonsgegevens. De vraag is of dat anders is, nu duidelijk wordt dat de gegevens onder omstandigheden wel degelijk die Europese grens kunnen passeren. Het is in dat kader afwachten hoe de Europese Commissie antwoordt op de door In ‘t Veld gestelde vragen.
Mogelijk antwoord: ontdekte “lek” is niet nieuw en alleen bij bijzondere persoonsgegevens relevant
Wanneer ik alvast een voorzichtig voorschot neem op die antwoorden, denk ik dat het al met al niet zo’n vaart zal lopen. Juist uit de al genoemde modelcontracten blijkt namelijk dat de Europese Commissie zich ervan bewust is dat bij uitbesteding van de verwerking van persoonsgegevens die gegevens onder omstandigheden in handen van vreemde autoriteiten kunnen belanden. Er staat namelijk in artikel 5 lid d sub i een verplichting voor de gegevensimporteur (cloud provider) om de klant te informeren wanneer “een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren“. In de modelcontracten staat niet dat die informatie vervolgens ook met de betrokkene moet worden gedeeld. Kennelijk wordt het afgegeven van de persoonsgegevens aan de nationale wetshandhavers als een normaal “bedrijfsrisico” van gegevensexport beschouwd. Alleen wanneer “bijzondere persoonsgegevens” worden geexporteerd moet de verantwoordelijke de betrokkene hierover vooraf informeren (artikel 4 sub f). Dat laatste ziet dan overigens slechts op het feit dat gegevensexport plaatsvindt, niet (ook) op afgifte van die gegevens aan de lokale overheden.
Het zou me dan ook niet verbazen wanneer de Europese Commissie in het antwoord op de vragen er vooral op zal wijzen dat het gebruik van cloud oplossingen voor de verwerking van bijzondere persoonsgegevens (te) veel risico’s met zich meebrengt en dat er overigens het antwoord niet veel nieuws zal brengen. Het blijft echter afwachten. Wij houden u op de hoogte.